• Facebook
  • Twitter
  • RSS

Piarovci v boju z GDPR

V luči priprav na uvedbo Splošne uredbe EU o varstvu podatkov (GDPR) je močno završalo tudi med strokovnjaki za odnose z javnostmi, saj se je sprva zdelo, da odnosom z javnostmi grozi uničenje. Pogledali smo glavne dileme, s katerimi se soočajo komunikatorji v zvezi z GDPR, in poiskali odgovore nanje.

Prvo in največje vprašanje, ki se je pojavilo med piarovci in vneslo veliko mero groze: Ali moramo vsakega novinarja posebej prositi za dovoljenje, da mu lahko po 25. maju 2018 še naprej pošljemo sporočilo za javnost?

Podjetja, organizacije in komunikacijske agencije imajo namreč številne sezname novinarjev z njihovimi službenimi osebnimi podatki (ime, priimek, naslov delodajalca, elektronski naslov, telefonska številka), ki se uporabljajo za obveščanje javnosti. Novinarji so namreč vezni člen med organizacijami in javnostjo, saj v medijih, v katerih delajo, pripravljajo informacije, ki so na voljo splošni ali specifični javnosti (glede na naravo medija). Ali bi torej morali za svoje novinarske adreme pridobiti soglasje vsakega posameznega novinarja? Pri tem ni zanemarljivo dejstvo, da se podatki in e-naslovi novinarjev dnevno spreminjajo, saj je v novinarskem poklicu veliko sprememb in menjav.

Pravna mnenja so si bila tako različna, da niso pomagala rešiti zadrege piarovcev. Nekateri so bili prepričani, da bi vsekakor morali tudi za novinarske adreme pridobiti soglasje vsakega, ki je v adremi. Njihovo mnenje je bilo seveda dobronamerno, v slogu boljšega upravljanja s tveganjem – »bolje, da imamo in smo mirni«.

Na drugi strani pa so bili pravni strokovnjaki, ki so bili prepričani, da se delo z mediji oziroma novinarji uvršča v kategorijo »legitimnega interesa«, zato privolitve ne potrebujemo. Po njihovem mnenju naj bi to veljalo za vse podatke novinarjev, ki delujejo v okviru medija, in jih piarovci v adremah vodimo pod njihovim službenim elektronskim naslovom. Seveda je bilo takšno mnenje bolj naklonjeno tako piarovcem kot tudi novinarjem. Za slednje bi to namreč pomenilo, da jim bo prihranjeno ogromno birokracije v sklopu prošenj in potrjevanj soglasij za pošiljanje informacij s strani podjetij in organizacij. V nasprotnem primeru bi to novinarjem zagotovo prineslo nepotrebno delo ob že zdaj velikem pomanjkanju časa. Vsem, ki se profesionalno ukvarjajo z odnosi z javnostmi, pa bi to posledično onemogočilo delo, saj ne bi nikoli zbrali dovolj potrditev.

Reševanja te pereče dileme se je na srečo na pobudo svojih članov tako lotila krovna organizacija slovenskih praktikov odnosov z javnostmi PRSS, v prizadevanju, da bi bili pri tem upoštevani tako interesi novinarjev kot tudi piarovcev.

Obrnili so se na Društvo novinarjev Slovenije, največje stanovsko društvo novinarjev, ki se je strinjalo, da novinarji želijo prejemati različne informacije in sporočila strokovnjakov za odnose z javnostmi (z izjemo neposrednega trženja), saj je njihov poklic na podlagi zbranih informacij obveščati svoje javnosti.

»Skupaj smo oblikovali dopis za Urad informacijske pooblaščenke, v katerem smo prosili, da se seznami novinarjev v oddelkih za komuniciranje v podjetjih obravnavajo kot zakoniti interes tako podjetij, da obveščajo javnost, kot tudi novinarjev biti obveščeni,« so povedali predstavniki PRSS.

»Informacijska pooblaščenka nam je na ta dopis tudi odgovorila (celoten njen odgovor si lahko preberete na spletni strani PRSS, op. p.) in ugodila naši prošnji oziroma presodila, da za sezname novinarjev v podjetjih ne potrebujemo njihove privolitve, saj gre za zakonit interes,« dodajajo v PRSS.

Po besedah informacijske pooblaščenke Mojce Prelesnik se novinar, ki ne želi prejemati sporočil za javnost določenega strokovnjaka za odnose z javnostmi, lahko odjavi od prejemanja, tako da to preprosto sporoči nazaj po e-pošti. Piarovec pa ga je dolžan izbrisati oziroma odstraniti iz svoje adreme.

V okviru društva PRSS so na temo nove uredbe pripravili tudi PRaksalnico, delavnico na temo določil uredbe, kjer so pregledali vse potrebne korake ob zbiranju osebnih podatkov in tudi za obdelovanje obstoječih.

Glavna dilema za piarovce se je tako uspešno razrešila in omogočila nadaljnje uspešno delo. A v praksi se je izkazalo, da ostajajo številne dileme še vedno odprte in nepojasnjene.

Pa si poglejmo nekatere konkretne izzive pri vsakodnevnem delu praktikov za odnose z javnostmi. Odgovore in pojasnila sta nam posredovala informacijska pooblaščenka Mojca Prelesnik in Blaž Jamšek, pravnik, podjetnik in tehnološki navdušenec.

Kaj lahko strokovnjak za odnose z javnostmi stori, ko ga partnerji pri projektu (na primer nadrejeni ali sodelavci v podjetju iz drugih oddelkov oziroma predstavniki naročnika v primeru agencije za odnose z javnostmi) prosijo, da jim pošlje seznam, katerim novinarjem bodo pošiljali določeno informacijo?

Prelesnikova poudarja, da strokovnjak za odnose z javnostmi glede svojega dela odgovarja vodstvu, zato ima vodstvo tudi pravico vedeti, katerim novinarjem oziroma ciljnim javnostim bo novinar posredoval določeno informacijo. V podobnem odnosu je piarovec tudi do naročnika, pri čemer ta ni upravičen do pridobitve zbirke osebnih podatkov. Piarovec se v tem primeru lahko znajde tako, da navede le medije ali samo imena in priimke novinarjev, ki jim namerava posredovati novico oziroma sporočilo za javnost.

Kako morajo piarovci shranjevati novinarske adreme in z njimi rokovati?

Čeprav gre za zakonit interes in privolitve novinarjev za hrambo njihovih podatkov ne potrebujemo, pa moramo kljub temu zagotoviti varno shranjevanje in urejanje medijskih adrem. 

Tudi Prelesnikova poudarja, da gre v tem primeru še vedno za zbirko osebnih podatkov, zato glede tega veljajo podobne dolžnosti kot za druge zbirke osebnih podatkov. Preprečevati je treba morebitno odtujitev zbirke, nenamensko uporabo podatkov, posredovanje podatkov iz zbirke brez pravne podlage, adrema mora biti evidentirana kot zbirka osebnih podatkov pri delodajalcu (upravljavcu) ...

Blaž Jamšek ob tem dodaja: »Čeprav je to za nekatere samoumevno, bi rad še posebej poudaril, da se morajo adreme shranjevati na službenih programih in napravah, ker so dobavitelji programske opreme (npr. Google, Samsung …) obdelovalci teh osebnih podatkov. Veljati morajo ustrezni varnostni in organizacijski ukrepi (gesla, omejen dostop) in da so adreme uporabljene za isti namen, za katerega so zbrane. Če gre za adremo novinarjev, katerih kontaktni podatki so javno objavljeni, potem se jih lahko uporablja za širši namen (seveda v povezavi z njihovim novinarskim delom). Če pa imamo »nejaven« neposreden kontakt od novinarja (vizitko ali nam je novinar osebno povedal svoje kontaktne podatke), ki ga je dal samo nam, potem pa tega v nobenem primeru ne smemo razkrivati tretjim osebam (tudi znotraj podjetja) in moramo s takšnim kontaktnim podatkom delati restriktivno.«

Pogosto se za posamezen dogodek ali novinarsko konferenco iz širše adreme novinarjev ustvari ožjo adremo tistih, ki so izkazali dodatno zanimanje za dogodek ali tematiko, z namenom, da se jim pošlje kakšno dodatno informacijo ali foto gradivo. Kako je s takšnimi seznami – kaj je treba vedeti, narediti in kako upravljati z njimi?

»Načeloma štejemo takšne sezname oziroma adreme za del večje adreme (na primer, da se izbere novinarje samo iz določenega tematskega področja, regije …) in ne za ločene ali nove zbirke osebnih podatkov. Še vedno pa moramo tudi takšne, delne zbirke osebnih podatkov ustrezno varovati, tako kot celotno zbirko,« pravi Prelesnikova.

Blaž Jamšek dodaja: »Pod predpostavko, da je bila širša adrema pravilno pridobljena, pravno tega sploh ne bi razlikoval. Ključen je namen pridobivanja in obdelave. Novinar je oseba, ki zbira informacije in o njih poroča, zato ne vidim nobene bistvene razlike v tem, da se izbrane novinarje obvešča, kot je opisano.«

Pogosto se zgodi, da ima piarovec tudi novinarjev zasebni e-poštni naslov (na primer gmail), ki mu ga da novinar. Ali jih ima lahko skupaj z drugimi službenimi e-naslovi v skupni novinarski adremi? Ali potrebuje pisno privolitev novinarja, da lahko uporablja njegov zasebni e-naslov, če mu ga je ta povedal ustno?

Prelesnikova meni, da če piarovec elektronski naslov novinarja vnese v skupno novinarsko adremo (torej zbirko osebnih podatkov pri delodajalcu), potem velja enako, ne glede na to, ali gre za novinarjev službeni ali zasebni naslov. Če ohrani njegov naslov v svojem zasebnem imeniku, potem za to ne potrebuje pisne privolitve. Podobno velja za vizitke, ki jih pridobimo neposredno od oseb – ko se vnesejo v centralno zbirko podjetja, postanejo del zbirke osebnih podatkov, ki jo mora podjetje varovati; če pa vizitka ostane samo v rokovanju posameznega zaposlenega, potem ne moremo govoriti, da gre za podatek, s katerim upravlja podjetje kot upravljavec zbirke. GDPR pri tem ne prinaša nobenih novosti ali sprememb, ki bi terjale spremembo ustaljenega načina rokovanja s kontaktnimi podatki.

Po mnenju Jamškanaj se zasebni stiki ne bi uporabljali v poslovne namene. Tovrstno prakso odsvetuje tako novinarjem kot tudi piarovcem. V prvi vrsti gre za vprašanje pogodbenega obdelovalskega odnosa med novinarjem in Googlom (ni pravne podlage). Po vsej verjetnosti novinar z uporabo zasebnega naslova na Gmailu krši pravila svojega delodajalca. Pri naslovu na Gmailu (če ni izrecno rečeno, da gre za zasebni kontakt) skorajda ne moreš presoditi, ali gre za poslovni paket Gmaila in se ne uporablja lastne domene ali pa gre za brezplačno storitev, namenjeno potrošnikom. Zasebna komunikacija med dvema posameznikoma ni predmet GDPR.

Podobno vprašanje velja za telefonske številke, ki jih piarovcu posreduje novinar in jih piarovec nato shrani v adremo. Ali prav tako potrebuje kakšno dokazilo?

Velja enako kot zgoraj, pravi Prelesnikova. Ko se podatek vnese v centralno zbirko podjetja, postane del zbirke osebnih podatkov, do takrat pa je zanj odgovoren tisti, ki je podatek prejel in za to ne potrebujete dokazila. Ob vnosu v centralno zbirko pa je smiselno narediti vsaj zaznamek, od koga in kdaj je bil pridobljen podatek, če o tem ni drugih dokazil.

Kako je s fotografijami novinarjev na novinarskih konferencah? Navadno fotograf posname govornike, pogosto pa zajame v objektiv tudi prisotne novinarje. Ali se te fotografije (na katerih so tudi novinarji) lahko uporabi za razpošiljanje medijem? Ali je treba pridobiti privolitev vsakega?

Informacijska pooblaščenka poudarja, da novinarji za svoje delo ne potrebujejo privolitev oseb, o katerih poročajo, sicer bi bilo njihovo delo praktično nemogoče. Pri svojem delu se morajo držati etičnih in novinarskih norm in kodeksov, sicer pa sam GDPR ne spreminja načina novinarskega dela.

Kako se obravnava adreme vplivnežev, ki so aktivni na spletu in družbenih omrežjih? Ali jih lahko piarovec hrani?

Prelesnikova odgovarja: »Če gre za javno dostopne podatke ali če so jih te osebe same zaupale piarovcem, potem jih je dopustno uporabljati, če ni določen namen omejen (na primer podjetje ne sme pošiljati komercialnih sporočil na e-naslove, ki jih najdemo na internetu brez njihovega soglasja ali brez obstoja pogodbenega razmerja stranka-prodajalec).«

Kaj pa v primeru e-novičnikov podjetja – ali moramo poslati vsem prejemnikom ponovno vabilo za potrditev ali pa je dovolj, če pošljemo le spremenjene pogoje in politiko zasebnosti? Kajti v praksi je bilo videti, da sta se pojavljali obe različici in so bila mnenja pravnikov deljena.

Ponovno privolitev posameznika je treba po besedah Prelesnikove dobiti samo, če je bila privolitev že prej podlaga (in ne na primer pogodba s posameznikom) in če stara privolitev ni veljavna glede na uredbo. V tem primeru mora biti pridobljena aktivno podana privolitev in samo spremenjeni pogoji ne zadostujejo.  

Glede privolitve so vse informacije o tem, kdaj jih je treba ponovno pridobiti in kakšne morajo biti, objavljene na spletni strani informacijskega pooblaščenca.

Številna podjetja so poslala prošnjo za potrditev sprejemanja e-novic in dobila zelo nizek odstotek potrditev. V praksi opažamo, da nekateri kljub temu e-novičnike še vedno pošiljajo vsem. Zdi se, kot da se je pojavil začaran krog, ko vsi razmišljajo v slogu »saj tudi drugi počnejo podobno«. Kakšno je pravilno ravnanje v tem primeru in kaj svetujete?

»Podjetja naj najprej podrobno preverijo, ali dejansko potrebujejo nove privolitve ali ne. Če imajo pogodbeno razmerje s posameznikom, je ta njihov kupec ali stranka, potem ga o svoji ponudbi lahko obveščajo po elektronski poti brez privolitve (do njegovega preklica). Če pa dejansko potrebujejo novo privolitev, je dopustno, da opravijo še nekaj stikov s povabilom k podaji ponovne privolitve, ni pa mogoče tega početi v nedogled in se je treba mogoče sprijazniti, da nekatere osebe preprosto ne želijo več prejemati naših novic,« odgovarja Prelesnikova.

Kaj kaže praksa predstavnikov za odnose z javnostmi v različnih podjetjih?

Preverili smo tudi, kakšne izkušnje imajo z uredbo GDPR predstavniki za odnose z javnostmi v različnih podjetjih v Sloveniji. Zanimalo nas je, kateri so največji izzivi, s katerimi so se soočili, katere korake so do zdaj že naredili in kaj še načrtujejo ter kako vidijo pomen uredbe GDPR v svojem poslu.

Po mnenju Mateje Čotar, strokovnjakinje za odnose z javnostmi v banki UniCredit, uredba GDPR zagotavlja enotna pravila za vse države članice EU. Na ta način se v vseh državah članicah vzpostavljajo enaki standardi, ki bodo kljub začetnim novostim zagotovili enoten pristop in proces za vse upravljalce in obdelovalce.

»Čeprav za večino podjetij in organizacij GDPR pomeni zahtevno nabiranje privoljenj za ohranjanje stikov s prejemniki informacij in posodobitev politike zasebnosti, obenem pomeni tudi dobrodošel razvoj, ki bo pripomogel k večji profesionalizaciji odnosov z mediji in javnostmi na splošno, zaradi povečane skrbnosti za zagotavljanje skladnosti na tem področju,« dodaja.

Na GDPR so se po njenih besedah v UniCredit Bank začeli prilagajati neposredno po objavi GDPR. Naredili so vse korake, ki so bili potrebni za zagotovitev skladnosti z uredbo GDPR, nadaljnje prilagoditve pa bodo odvisne od vsebine novega Zakona o varstvu osebnih podatkov (ZVOP-2).

»Praktikom odnosov z mediji je bilo z vidika zbiranja privoljenj prejemnikov informacij nekaj dela prihranjenega. Na strani medijev namreč obstaja legitimen interes za prejemanje informacij (z izjemo neposrednega trženja), saj je njihovo delo obveščanje javnosti na podlagi zbranih informacij. Ob tej priložnosti smo kljub vsemu ponovno prevetrili našo medijsko adremo, ki je prijavljena pri pooblaščenki in vsebuje le najnujnejše informacije za posredovanje informacij – elektronske naslove uredništev in novinarjev ter imena medijev. Če se prejemniki informacij ne strinjajo s shranjevanjem osebnih podatkov, nam, tako kot v preteklosti, tudi zdaj lahko v vsakem trenutku posredujejo kratko sporočilo, po prejemu katerega bomo njihove podatke takoj izbrisali iz naše medijske adreme,« pojasnjuje Čotarjeva.

Na svojih seznamih bodo obdržali le tiste predstavnike medijev, ki so jim informacije, ki jih pripravljajo, uporabne za njihovo delo. Sogovornica pa piarovcem tudi polaga na srce: »Nenazadnje sama adrema, še tako obsežna, ni zagotovilo za to, da bo informacija prišla do bralcev, gledalcev in poslušalcev. Pomembna je tudi in predvsem vsebina našega sporočila ter njena aktualnost.«

Morali bomo biti še bolj pozorni na drobni tisk

Po besedah Žige Fišerja, predstavnika za odnose z javnostmi Slovensko-nemške gospodarske zbornice, na zbornici hranijo osebne podatke v različnih zbirkah. Največji izziv jim predstavlja pristopna izjava podjetij za članstvo v zbornici, kjer je potrebno navesti nekaj kontaktnih podatkov določenih oseb iz podjetja, običajno pa prijavo izpolnjujejo sekretarke direktorjev, ki pa seveda niso lastnice vseh osebnih podatkov na prijavnici. Drugi izziv pa so fotografiranje in video zapisi z dogodkov, kjer bi teoretično potrebovali pisne odobritve vseh prisotnih.

V sklopu prilagajanja so na Slovensko-nemški gospodarski zbornici definirali procese pridobivanja in vnašanja osebnih podatkov v njihovo bazo ter zbiranje dovoljenj. Ker imajo njihova članska podjetja z njimi pogodbeno razmerje, na podlagi katerega tudi plačujejo članarino, jim novih privolitev za obstoječe člane ni bilo treba pridobivati. Pri vseh novih članih pa po 25. maju zahtevajo kakšno kljukico več na prijavnem obrazcu. Poleg tega že izvajajo privolitve za fotografiranje na dogodkih, kar pomeni, da so dejansko pokrili skoraj vse prilagoditve.

»Uredba se mi zdi pomembna, saj vsakemu posamezniku dodeljuje pravico podelitve in tudi odvzema uporabe osebnih podatkov. Pozitivne se mi zdijo tudi kazni, kljub temu da je tudi moj delodajalec lahko eden izmed kaznovanih pravnih oseb zaradi nepravilnosti. Dejstvo pa je, da bomo morali biti zdaj še bolj pozorni na drobni tisk, ko bomo podpisovali kakršno koli papirno dokumentacijo in kljukali privolitve na spletnih straneh,« razmišlja Fišer.

Izvedli številna šolanja na temo GDPR

Tudi za trgovsko podjetje Lidl Slovenija, kot pravi Tina Cipot, vodja korporativnega komuniciranja, skrb za varovanje osebnih podatkov in pravilno upravljanje z njimi ni nova. Tako imajo že skoraj desetletje imenovanega pooblaščenca za varovanje osebnih podatkov, ki znotraj družbe skrbi tako za ozaveščanje zaposlenih o pomenu varovanja osebnih podatkov kot tudi za pojasnila in razlago določb veljavne zakonodaje na področju varstva podatkov. Uredba GDPR pa je kljub dosedanji ozaveščenosti in sistematičnosti pri upravljanju z osebnimi podatki vplivala na njihovo delo, pojasnjuje Cipotova in dodaja: »Na področju korporativnega komuniciranja smo se na uredbo pripravili s pregledom vseh procesov obdelave osebnih podatkov znotraj področja dela, pregled je obsegal tudi vsa družbena omrežja in spletne strani, preko katerih se zbirajo določeni osebni podatki strank. Pregled je vključeval tudi nadzor nad spoštovanjem rokov brisanja ter spoštovanjem tehničnih in organizacijskih ukrepov. Prav tako smo na novo zasnovali pravna obvestila, kjer so posamezniki jasno in pregledno obveščeni o svojih pravicah ter o samih namenih in obsegu zbiranja osebnih podatkov.«

Znotraj družbe so v Lidlu Slovenija izvedli tudi številna šolanja s strani pooblaščene osebe za varstvo podatkov, na temo GDPR, hkrati pa so potekali sestanki s posamičnimi področji o potrebnih ukrepih, ki jih je potrebno sprejeti z namenom zagotovitve skladnosti.

V družbi Lidl Slovenija se zavedajo, da ključno vlogo pri varovanju podatkov predstavlja vsak posamezni zaposleni, zato že vrsto let izvajajo šolanja posameznikov, takoj ob nastopu dela v družbi. Zaposleni na področju varstva osebnih podatkov pa znanje prek rednih šolanj obnavljajo vsaj enkrat letno. Pri implementaciji GDPR so aktivno sodelovali tudi s pristojnimi področji mednarodne skupine Lidl.

Tina Cipot meni, da uredba v svojem bistvu prinaša pozitivne spremembe na področju varovanja podatkov, saj posameznikom ponuja številne pravice, ki so vsakemu lastne in neodtujljive. Še posebej pa se ji zdi pomembno, da se dviguje tudi aktivnejši diskurz o osebnih podatkih in se s tem ozavešča javnost o pomenu tematike.

Članek je bil prvotno objavljen v julijski, 445/446. številki Marketing magazinaNa spletu objavimo le 20 odstotkov člankov iz revije. Na MM se lahko naročite na i[email protected]